Administrowanie danymi
Dowiedz się, jak zarządzać dostępem do danych i jak uwierzytelniać się w usłudze Azure Machine Edukacja.
DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (current)Zestaw PYTHON SDK azure-ai-ml v2 (bieżąca)
Ważne
Ten artykuł jest przeznaczony dla administratorów platformy Azure, którzy chcą utworzyć wymaganą infrastrukturę dla rozwiązania usługi Azure Machine Edukacja.
Uwierzytelnianie danych oparte na poświadczeniach
Ogólnie rzecz biorąc, uwierzytelnianie danych opartych na poświadczeniach obejmuje następujące kontrole:
Czy użytkownik, który uzyskuje dostęp do danych z magazynu danych opartych na poświadczeniach, ma przypisaną rolę z kontrolą dostępu opartą na rolach (RBAC), która zawiera
Microsoft.MachineLearningServices/workspaces/datastores/listsecrets/action
?- To uprawnienie jest wymagane do pobierania poświadczeń z magazynu danych dla użytkownika.
- Wbudowane role, które zawierają to uprawnienie, są już współautorami, deweloperami sztucznej inteligencji platformy Azure lub usługą Azure Machine Edukacja badacze dancyh. Alternatywnie, jeśli zostanie zastosowana rola niestandardowa, musisz upewnić się, że to uprawnienie zostanie dodane do tej roli niestandardowej.
- Musisz wiedzieć , który konkretny użytkownik próbuje uzyskać dostęp do danych. Może to być prawdziwy użytkownik z tożsamością użytkownika lub komputerem z tożsamością zarządzaną obliczeniową (MSI). Zobacz sekcję Scenariusze i opcje uwierzytelniania, aby zidentyfikować tożsamość, dla której musisz dodać uprawnienie.
Czy przechowywane poświadczenia (jednostka usługi, klucz konta lub token sygnatury dostępu współdzielonego) mają dostęp do zasobu danych?
Uwierzytelnianie danych oparte na tożsamościach
Ogólnie rzecz biorąc, uwierzytelnianie danych oparte na tożsamości obejmuje następujące kontrole:
- Który użytkownik chce uzyskać dostęp do zasobów?
- W zależności od kontekstu, w przypadku uzyskiwania dostępu do danych dostępne są różne typy uwierzytelniania, na przykład:
- Tożsamość użytkownika
- Tożsamość zarządzana obliczeniowa
- Tożsamość zarządzana obszaru roboczego
- Zadania, w tym opcja zestawu danych
Generate Profile
, są uruchamiane na zasobie obliczeniowym w ramach subskrypcji i uzyskują dostęp do danych z tej lokalizacji. Tożsamość zarządzana obliczeniowa wymaga uprawnień do zasobu magazynu zamiast tożsamości użytkownika, który przesłał zadanie. - W przypadku uwierzytelniania na podstawie tożsamości użytkownika musisz wiedzieć , który konkretny użytkownik próbował uzyskać dostęp do zasobu magazynu. Aby uzyskać więcej informacji na temat uwierzytelniania użytkowników, zobacz Authentication for Azure Machine Edukacja (Uwierzytelnianie dla usługi Azure Machine Edukacja). Aby uzyskać więcej informacji na temat uwierzytelniania na poziomie usług, zobacz Authentication between Azure Machine Edukacja and other services (Uwierzytelnianie między usługą Azure Machine Edukacja i innymi usługami).
- W zależności od kontekstu, w przypadku uzyskiwania dostępu do danych dostępne są różne typy uwierzytelniania, na przykład:
- Czy ten użytkownik ma uprawnienia do odczytu?
- Czy tożsamość użytkownika lub tożsamość zarządzana obliczeniowa mają niezbędne uprawnienia dla tego zasobu magazynu? Uprawnienia są przyznawane przy użyciu kontroli dostępu opartej na rolach platformy Azure.
- Czytelnik konta magazynu odczytuje metadane magazynu.
- Czytnik danych obiektu blob usługi Storage odczytuje i wyświetla kontenery magazynu oraz obiekty blob.
- Aby uzyskać więcej informacji, zobacz Role wbudowane platformy Azure dla magazynu.
- Czy ten użytkownik ma uprawnienia do pisania?
- Czy tożsamość użytkownika lub tożsamość zarządzana obliczeniowa mają niezbędne uprawnienia dla tego zasobu magazynu? Uprawnienia są przyznawane przy użyciu kontroli dostępu opartej na rolach platformy Azure.
- Czytelnik konta magazynu odczytuje metadane magazynu.
- Współautor danych obiektu blob usługi Storage odczytuje, zapisuje i usuwa kontenery i obiekty blob usługi Azure Storage.
- Aby uzyskać więcej informacji, zobacz Role wbudowane platformy Azure dla magazynu.
Inne ogólne kontrole uwierzytelniania
- Skąd pochodzi dostęp?
- Użytkownik: czy adres IP klienta znajduje się w zakresie sieci wirtualnej/podsieci?
- Obszar roboczy: czy obszar roboczy jest publiczny, czy ma prywatny punkt końcowy w sieci wirtualnej/podsieci?
- Magazyn: Czy magazyn zezwala na dostęp publiczny, czy ogranicza dostęp za pośrednictwem punktu końcowego usługi lub prywatnego punktu końcowego?
- Jaka operacja zostanie wykonana?
- Usługa Azure Machine Edukacja obsługuje operacje tworzenia, odczytu, aktualizacji i usuwania (CRUD) w magazynie danych/zestawie danych.
- Operacje archiwizowania zasobów danych w usłudze Azure Machine Edukacja Studio wymagają tej operacji kontroli dostępu opartej na rolach:
Microsoft.MachineLearningServices/workspaces/datasets/registered/delete
- Wywołania dostępu do danych (na przykład wersja zapoznawcza lub schemat) przechodzą do magazynu bazowego i wymagają dodatkowych uprawnień.
- Czy ta operacja zostanie uruchomiona w zasobach obliczeniowych subskrypcji platformy Azure lub zasobach hostowanych w ramach subskrypcji firmy Microsoft?
- Wszystkie wywołania usług zestawu danych i magazynu danych (z wyjątkiem
Generate Profile
opcji) używają zasobów hostowanych w subskrypcji firmy Microsoft do uruchamiania operacji. - Zadania, w tym opcja zestawu danych
Generate Profile
, są uruchamiane na zasobie obliczeniowym w ramach subskrypcji i uzyskują dostęp do danych z tej lokalizacji. Tożsamość obliczeniowa wymaga uprawnień do zasobu magazynu zamiast tożsamości użytkownika, który przesłał zadanie.
- Wszystkie wywołania usług zestawu danych i magazynu danych (z wyjątkiem
Ten diagram przedstawia ogólny przepływ wywołania dostępu do danych. W tym miejscu użytkownik próbuje wykonać wywołanie dostępu do danych za pośrednictwem obszaru roboczego Edukacja maszyny bez użycia zasobu obliczeniowego.
Scenariusze i opcje uwierzytelniania
W tej tabeli wymieniono tożsamości do użycia w określonych scenariuszach.
Konfigurowanie | Maszyna wirtualna lokalnego/notesu zestawu SDK | Zadanie | Podgląd zestawu danych | Przeglądanie magazynu danych |
---|---|---|---|---|
Poświadczenia i tożsamość usługi zarządzanej obszaru roboczego | Referencje | Referencje | Tożsamość usługi zarządzanej obszaru roboczego | Poświadczenia (tylko klucz konta i token sygnatury dostępu współdzielonego) |
Brak poświadczeń i tożsamości usługi zarządzanej obszaru roboczego | Obliczanie tożsamości usługi zarządzanej/użytkownika | Obliczanie tożsamości usługi zarządzanej/użytkownika | Tożsamość usługi zarządzanej obszaru roboczego | Tożsamość użytkownika |
Poświadczenia i brak tożsamości usługi zarządzanej obszaru roboczego | Referencje | Referencje | Poświadczenia (nieobsługiwane w wersji zapoznawczej zestawu danych w sieci prywatnej) | Poświadczenia (tylko klucz konta i token sygnatury dostępu współdzielonego) |
Brak poświadczeń i brak tożsamości usługi zarządzanej obszaru roboczego | Obliczanie tożsamości usługi zarządzanej/użytkownika | Obliczanie tożsamości usługi zarządzanej/użytkownika | Tożsamość użytkownika | Tożsamość użytkownika |
W przypadku zestawu SDK w wersji 1 uwierzytelnianie danych w zadaniu zawsze używa obliczeniowej tożsamości usługi zarządzanej. W przypadku zestawu SDK w wersji 2 uwierzytelnianie danych w zadaniu zależy od ustawienia zadania. Może to być tożsamość użytkownika lub obliczyć tożsamość usługi zarządzanej na podstawie ustawienia.
Napiwek
Aby uzyskać dostęp do danych spoza usługi Machine Edukacja, na przykład przy użyciu Eksplorator usługi Azure Storage, dostęp ten prawdopodobnie opiera się na tożsamości użytkownika. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją dotyczącą używanego narzędzia lub usługi. Aby uzyskać więcej informacji na temat sposobu pracy Edukacja maszyny z danymi, zobacz Konfigurowanie uwierzytelniania między usługą Azure Machine Edukacja i innymi usługami.
Wymagania specyficzne dla sieci wirtualnej
Poniższe informacje ułatwiają skonfigurowanie uwierzytelniania danych w celu uzyskania dostępu do danych za siecią wirtualną z poziomu obszaru roboczego usługi Machine Edukacja.
Dodawanie uprawnień konta magazynu do tożsamości zarządzanej obszaru roboczego usługi Machine Edukacja
Jeśli używasz konta magazynu z programu Studio, jeśli chcesz wyświetlić podgląd zestawu danych, musisz włączyć opcję Użyj tożsamości zarządzanej obszaru roboczego na potrzeby podglądu danych i profilowania w usłudze Azure Machine Edukacja Studio w ustawieniu magazynu danych. Następnie dodaj następujące role RBAC platformy Azure konta magazynu do tożsamości zarządzanej obszaru roboczego:
- Czytnik danych obiektów blob
- Jeśli konto magazynu używa prywatnego punktu końcowego do nawiązania połączenia z siecią wirtualną, musisz przyznać rolę Czytelnik dla prywatnego punktu końcowego konta magazynu do tożsamości zarządzanej.
Aby uzyskać więcej informacji, zobacz Korzystanie z usługi Azure Machine Edukacja Studio w sieci wirtualnej platformy Azure.
W poniższych sekcjach opisano ograniczenia korzystania z konta magazynu z obszarem roboczym w sieci wirtualnej.
Bezpieczna komunikacja przy użyciu konta magazynu
Aby zabezpieczyć komunikację między Edukacja maszyną i kontami magazynu, skonfiguruj magazyn w celu udzielenia dostępu do zaufanych usług platformy Azure.
Zapora usługi Azure Storage
Gdy konto magazynu znajduje się za siecią wirtualną, zapora magazynu może zwykle służyć do umożliwienia klientowi bezpośredniego łączenia się przez Internet. Jednak w przypadku korzystania z programu Studio klient nie łączy się z kontem magazynu. Usługa machine Edukacja, która wysyła żądanie, łączy się z kontem magazynu. Adres IP usługi nie jest udokumentowany i często się zmienia. Włączenie zapory magazynu nie umożliwi studio dostępu do konta magazynu w konfiguracji sieci wirtualnej.
Typ punktu końcowego usługi Azure Storage
Gdy obszar roboczy używa prywatnego punktu końcowego, a konto magazynu znajduje się również w sieci wirtualnej, podczas korzystania z programu Studio pojawiają się dodatkowe wymagania dotyczące walidacji:
- Jeśli konto magazynu używa punktu końcowego usługi, prywatny punkt końcowy obszaru roboczego i punkt końcowy usługi magazynu muszą znajdować się w tej samej podsieci sieci wirtualnej.
- Jeśli konto magazynu używa prywatnego punktu końcowego , prywatny punkt końcowy obszaru roboczego i prywatny punkt końcowy magazynu muszą znajdować się w tej samej sieci wirtualnej. W takim przypadku mogą znajdować się w różnych podsieciach.
Usługa Azure Data Lake Storage 1. generacji
W przypadku używania usługi Azure Data Lake Storage Gen1 jako magazynu danych można używać tylko list kontroli dostępu w stylu POSIX. Tożsamość zarządzana obszaru roboczego można przypisać do zasobów, podobnie jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, zobacz Kontrola dostępu w usłudze Azure Data Lake Storage Gen1.
Azure Data Lake Storage Gen2
W przypadku używania usługi Azure Data Lake Storage Gen2 jako magazynu danych można użyć zarówno kontroli dostępu opartej na rolach platformy Azure, jak i list kontroli dostępu w stylu POSIX (ACL) w celu kontrolowania dostępu do danych wewnątrz sieci wirtualnej.
- Aby użyć kontroli dostępu opartej na rolach platformy Azure: wykonaj kroki opisane w artykule Magazyn danych: konto usługi Azure Storage. Usługa Data Lake Storage Gen2 jest oparta na usłudze Azure Storage, dlatego te same kroki mają zastosowanie podczas korzystania z kontroli dostępu opartej na rolach platformy Azure.
- Aby użyć list ACL: tożsamość zarządzana obszaru roboczego może być przypisana jak każdy inny podmiot zabezpieczeń. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu dotyczące plików i katalogów.
Następne kroki
Aby uzyskać informacje na temat włączania programu Studio w sieci, zobacz Use Azure Machine Edukacja studio in an Azure virtual network (Korzystanie z usługi Azure Machine Edukacja Studio w sieci wirtualnej platformy Azure).